Hacker behaupten, Discord-Verstoß habe Daten von 5,5 Millionen Nutzern offengelegt
Der Discord-Verstoß: Was passiert ist und was Nutzer wissen müssen
Im Oktober 2025 gab Discord einen erheblichen Datenverstoß bekannt, der Nutzer betraf, die mit dem Kundensupport und den Trust & Safety-Teams interagiert hatten. Während das Unternehmen zunächst berichtete, dass etwa 70.000 Nutzer möglicherweise sensible Daten wie Fotos von Ausweisdokumenten offengelegt hatten, behaupteten Hacker, Daten von 5,5 Millionen Nutzern gestohlen zu haben. Diese Diskrepanz hat Besorgnis und Verwirrung ausgelöst. Discord hat erklärt, dass der Verstoß kein direkter Angriff auf seine Plattform war, sondern eine Kompromittierung eines externen Kundendienstanbieters, 5CA.
Die Angreifer verschafften sich Zugang zu einem Ticketsystem, das vom Discord-Supportteam genutzt wird, und erlangten Zugriff auf Nachrichten, Benutzernamen, E-Mail-Adressen und in einigen Fällen begrenzte Rechnungsinformationen und Bilder von Ausweisdokumenten, die zur Altersverifizierung eingereicht wurden. Discord hat den Zugriff des Anbieters widerrufen, eine Untersuchung mit einem forensischen Unternehmen eingeleitet und arbeitet mit den Strafverfolgungsbehörden zusammen.
Kein Discord-Verstoß, sondern ein Vorfall bei einem Drittanbieter
Discord hat betont, dass die eigenen Systeme nicht kompromittiert wurden. Stattdessen zielte der Angriff auf einen externen Kundendienstanbieter, 5CA. Dies ist ein häufiger Vektor für Datenverstöße, bei dem Angreifer das schwächste Glied in einer Lieferkette ausnutzen. Die unbefugte Partei nutzte Social-Engineering-Taktiken, um Zugang zum Discord-Support-Ticketsystem zu erhalten, nicht durch Ausnutzung einer Schwachstelle im Discord-eigenen Code. Diese Unterscheidung ist wichtig: Discords Kernsysteme für Nachrichten und Authentifizierung blieben sicher. Für Nutzer, die den Support kontaktiert hatten, waren ihre Daten jedoch offengelegt. Der Vorfall verdeutlicht die Risiken der Datenweitergabe an Dritte und die Notwendigkeit strenger Sicherheitsaudits bei Anbietern.
Sensible Daten offengelegt: Ausweise, Rechnungsinformationen und mehr
Der Verstoß legte eine Reihe von Nutzerdaten offen, hauptsächlich von Personen, die mit dem Kundensupport oder den Trust & Safety-Teams von Discord kommuniziert hatten. Die kompromittierten Daten umfassen:
- Namen, Discord-Benutzernamen, E-Mail-Adressen und andere Kontaktdaten, die dem Support zur Verfügung gestellt wurden
- Begrenzte Rechnungsinformationen wie Zahlungsart, die letzten vier Ziffern der Kreditkarte und den Kaufverlauf
- IP-Adressen
- Mit Supportmitarbeitern ausgetauschte Nachrichten
- Bilder von Ausweisdokumenten von etwa 70.000 Nutzern, die gegen Altersentscheidungen Einspruch eingelegt hatten
Bemerkenswerterweise wurden Passwörter, vollständige Kreditkartennummern und private Nachrichten zwischen Nutzern nicht kompromittiert. Die Fotos der Ausweise sind besonders besorgniserregend, da sie für Identitätsdiebstahl verwendet werden können. Discord hat angekündigt, betroffene Nutzer per E-Mail von 'noreply@discord.com' zu benachrichtigen.
Behauptungen der Hacker: 5,5 Millionen gegenüber 70.000
Die Hacker, angeblich eine Gruppe namens Scattered Lapsu$ Hunters (SLH), behaupteten, Daten von 5,5 Millionen Nutzern gestohlen zu haben, was weit über Discords bestätigte Auswirkungen von etwa 70.000 hinausgeht. Sie behaupteten auch, 1,5 Terabyte an Daten zu haben. Discord hat diese Behauptungen als 'falsch und Teil eines Versuchs, eine Zahlung zu erpressen' zurückgewiesen. Sicherheitsexperten weisen jedoch darauf hin, dass die tatsächliche Anzahl betroffener Nutzer größer sein könnte, wenn die Angreifer auf eine breitere Palette von Support-Tickets zugegriffen hätten. Discord hat keine detaillierte Aufschlüsselung gegeben, was einige Unsicherheit hinterlässt. Nutzer sollten wachsam bleiben und überlegen, ob sie in der Vergangenheit den Discord-Support kontaktiert haben.
Wer sind die Hacker?
Die Gruppe wird als Koalition beschrieben, die Taktiken von Scattered Spider, Lapsu$ und ShinyHunters kombiniert. Sie verlassen sich auf Social Engineering statt Malware und zielen auf Drittanbieter ab, um an größere Ziele zu gelangen. Dies ist ein wachsender Trend in der Cyberkriminalität, bei dem gehärtete Abwehrmechanismen umgangen werden, indem weniger sichere Partner angegriffen werden.
Discords Reaktion: Schnelles Handeln und nächste Schritte
Discord handelte schnell, nachdem der Verstoß entdeckt wurde. Es widerrief den Zugriff des Drittanbieters, leitete eine interne Untersuchung mit forensischer Unterstützung ein und schaltete die Strafverfolgungsbehörden ein. Das Unternehmen benachrichtigte auch die zuständigen Datenschutzbehörden und ist dabei, betroffene Nutzer zu kontaktieren. Discord hat versichert, dass es Nutzer nicht telefonisch kontaktieren wird und dass offizielle Mitteilungen nur von 'noreply@discord.com' kommen. Für nicht betroffene Nutzer ist keine Aktion erforderlich. Discord empfiehlt jedoch allen Nutzern, bei verdächtigen Nachrichten oder E-Mails vorsichtig zu sein.
Lehren für Nutzer: So schützen Sie sich nach einem Verstoß
Dieser Vorfall erinnert daran, dass selbst wenn eine Plattform selbst sicher ist, Integrationen von Drittanbietern anfällig sein können. Hier sind Schritte, die Nutzer unternehmen können:
- Achten Sie auf Phishing-Versuche: Seien Sie vorsichtig bei unerwarteten E-Mails oder Nachrichten, die vorgeben, von Discord zu sein, insbesondere wenn sie nach persönlichen Daten fragen.
- Verwenden Sie eindeutige Passwörter: Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihr Discord-Konto.
- Überprüfen Sie Support-Interaktionen: Wenn Sie sensible Daten mit dem Discord-Support geteilt haben, seien Sie besonders vorsichtig bei Identitätsdiebstahl.
- Überwachen Sie Finanzkonten: Obwohl vollständige Kreditkartennummern nicht offengelegt wurden, könnten begrenzte Rechnungsinformationen bei gezielten Angriffen verwendet werden.
Discord hat erklärt, dass es das kompromittierte System nicht mehr für die Altersverifizierung verwenden wird und auf spezialisierte Anbieter wie k-ID und Persona umgestiegen ist. Das Unternehmen sagt auch, dass es Bilder von Ausweisdokumenten nach der Verifizierung löschen wird, um zukünftige Risiken zu minimieren.
Das große Ganze: Drittanbieterrisiko und Datenschutz
Dieser Verstoß unterstreicht die wachsende Herausforderung des Drittanbieterrisikos im digitalen Ökosystem. Unternehmen wie Discord können eine starke interne Sicherheit haben, aber ein einzelner Anbieter mit schwachen Kontrollen kann Millionen von Nutzern gefährden. Der Vorfall entfacht auch Debatten über Altersverifizierungssysteme neu, die die Erfassung sensibler biometrischer Daten erfordern. Digitalrechtsaktivisten warnen, dass solche Systeme Honigtöpfe für Angreifer schaffen. Für Nutzer ist die Lehre, sorgsam mit den Informationen umzugehen, die sie mit Online-Diensten teilen, insbesondere mit sensiblen Ausweisen. Während Discord und andere Plattformen ihre Sicherheitspraktiken weiterentwickeln, wird dieses Ereignis wahrscheinlich beeinflussen, wie sie Drittanbieter in Zukunft prüfen und verwalten.